задавать вопросы по маршрутизации в этот раздел не стоит, т.к. иса не занимается маршрутизацией этим занимается Windows. »Когда на сервере стоит ISA, то настройки RRAS трогать нельзя — всё нужно настраивать через ису.

Вот что еще не пойму - в настройках VPN на обеих сторонах нужно прописывать внешние адреса источника и назначения туннеля. Сейчас я для филлиала поставил шлюз и впн-сервер в одном, а в офисе - опубликовал через ISA-шлюз VPN-концентратор, висящий на третьем сетевом интерфейсе. Так вот, в филлиальном VPN-сервер я для пары "источник-получатель" указываю внешние адреса. А вот как быть с офисным концентратором? У него получается адрес получателя внешний, а вот адрес приемника (то бишь его адрес) я не могу указать внешний, т.к. физический интерфейс имеет внутренний адрес. А если я укажу внутренний, скорее всего возникнет несогласованность туннеля...

а вот адрес приемника (то бишь его адрес) я не могу указать внешний, т.к. физический интерфейс имеет внутренний адрес. »

1) IP адрес VPN-концентратора выводится наружу при помощи NAT (Port/IP Mapping).
Для использования IPSec должна поддерживаться технология NAT traversal (http://en.wikipedia.org/wiki/NAT_traversal)

2) С точки зрения маршрутизации VPN концентратор является практически полным аналогом RAS сервера (особенно при работе по ppp), по этому для организации VPN-сети, на нем выделяется отдельный виртуальный IP сегмент/сеть.

В общем поднял туннель на OpenVPN. Пингую по порядку. С клиентской машины филлиала (КФ) шлюз филлиала (ШФ) - проходит. С КФ виртуальный интерфейс филлиала - проходит. С КФ виртуальный интерфейс офисного VPN-хаба - проходит. С КФ физический интерфейс офисного VPN-хаба - проходит. С КФ физ. интерфейс ISA (который подключен к VPN-хабу) - не проходит. В мониторе ISA ошибка "0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED Denied Connection". В правилах исы разрешено полное подключение для всех сетей. Что не так делаю?

Я понял, откуда ошибка берется. У меня на сетевой интерфейс 192.168.200.1 (DMZ-сеть) приходят пакеты 192.168.10.2 (клиент филлиала после расшифровки VPN-хабом). Естественно иса считает, что адрес подделан. Но вот как обойти эту проблему?

Сам спросил - сам ответил :)

Последнюю проблему решил следующим образом:

1) В сеть DMZ добавил все сети удаленных офисов и сеть VPN
2) Прописал постоянные маршруты на добавленные сети с GW = физ. адрес VPN-хаба.

Сейчас все заработало. Все спасибо. Огромная благодарность kim-aa! Вы мне очень помогли.

Последний вопрос: уместно ли выкладывать конфиги серверов для такой схемы в этот топик или это только для меня нетривиальная задача была?

Последний вопрос: уместно ли выкладывать конфиги серверов для такой схемы в этот топик или это только для меня нетривиальная задача была? »

Конфиги (backup) исы Вы выкладывать можете только нужно убрать из них (перед сохранением) всю конфиденциальную информацию (как то внешние IP, сертификаты, слушатели опубликованных серверов, логины пользователей и т.п.). В качестве учебного материала для виртуальной машины сгодится. :up